<p>Discordのボットを悪用するマルウェアが登場</p><p>Discordのボットを悪用するマルウェアが登場</p><p>ボイスチャットやテキストチャットが可能な「Discord」や「Telegram」は、単なるメッセージアプリの域を超える多様な機能を有している点が特徴で、ユーザーは「ボット」と呼ばれるプログラムを導入することもできます。このボットを使えば、ユーザーは音楽を再生したり、簡単なゲームをプレイしたり、その他のタスクを自動で実行したりすることも可能です。そんなメッセージアプリのボットを悪用するマルウェアが登場しており、話題を呼んでいます。</p><p>が、メッセージングアプリを駆使して独自のマルウェアを拡散するサイバー犯罪者の存在を発見しました。Intel471によると、このサイバー犯罪者はDiscordやTelegramのボットと情報を盗みだすインフォスティーラーを併用して、ユーザーの資格情報を盗み出すそうです。 Intel471のアナリストは、DiscordまたはTelegramで配布されている無料のボットの中に紛れ込んでいるインフォスティーラーを発見しました。ボットに紛れ込んでいるインフォスティーラーのひとつは「Blitzed Grabber」と呼ばれるもので、これは盗み出したデータを保存するために、Discordの「 (ウェブフック)」と呼ばれる機能を使用するそうです。このWebhookを利用することで、サイバー犯罪者は被害者のマシンから特定のメッセージングチャンネルに自動メッセージやデータ更新を送信することが可能となります。つまり、サイバー犯罪者はWebhookを使うことで、Discord経由での情報傍受を続けたり、盗んだ認証情報を別の端末に移動させたりすることが可能となるわけです。 Blitzed Grabberを含むインフォスティーラーは、自動入力データ・ブックマーク・ブラウザCookie・ クライアントの認証情報・クレジットカード情報・仮想通貨ウォレット・OS情報・パスワード・Windowsプロダクトキーなど、さまざまな情報を盗み出すことが可能です。また、Blitzed Grabber、Mercurial Grabber、44Caliberなどの一部のインフォスティーラーは、マインクラフトやRobloxといった人気ゲームの認証情報も盗み出す模様。 Intel471が発見したTelegramに特化した別のマルウェアボットが「X-Files」です。このマルウェアが被害者の端末に侵入すると、Google Chrome・Chromium・Opera・Slimjet・Vivaldiといった複数のブラウザからパスワード・セッションCookie・ログイン情報・クレジットカード情報などの情報を盗み出し、その情報をサイバー犯罪者の選んだTelegramチャンネルに送信します。 さらに別のインフォスティーラーである「Prynt Stealer」は、X-Filesと同じように機能しますが、Telegramコマンドは利用しません。 さらに、これらのインフォスティーラーを悪用するサイバー犯罪者が、メッセージアプリの利用するクラウドインフラストラクチャーを悪用し、マルウェアを拡散していることも突き止めています。多くのサイバー犯罪者がDiscordのコンテンツデリバリネットワーク(CDN)を使用して、マルウェアのペイロードをホストしていることも明らかになりました。 「DiscordのCDNを使用してマルウェアのペイロードをホストする」という手法は、2019年初頭に初めてIntel471のマルウェア調査システムに検出されましたが、それ以降もさまざまなサイバー犯罪者に悪用されているとのこと。なお、マルウェアを利用するサイバー犯罪者は、悪意のあるペイロードをホスティングするためにDiscordのCDNにアップロードする際、一見何の制限も受けていないように見えるそうです。 なお、DiscordのCDNを悪用していることが確認されているマルウェアは以下の通り。</p>